Apple 正在敦促 macOS、iPhone 和 iPad 用户在本周立即安装相应的更新,其中包括针对受到主动攻击的两个零日的修复。 这些补丁针对允许攻击者执行任意代码并最终接管设备的漏洞。
补丁可用于运行的受影响设备 iOS的15.6.1 和 macOS 蒙特雷 12.5.1. 根据 Apple 周三发布的安全更新,补丁解决了两个漏洞,这些漏洞基本上影响了任何可以运行 iOS 15 或其桌面操作系统的 Monterey 版本的 Apple 设备。
其中一个缺陷是内核错误(CVE-2022-32894),它同时存在于 iOS 和 macOS 中。 根据 Apple 的说法,这是一个“通过改进的边界检查解决的越界写入问题”。
据苹果公司称,该漏洞允许应用程序以内核权限执行任意代码,苹果公司以通常含糊的方式表示,有报告称它“可能已被积极利用”。
第二个缺陷被确定为 WebKit 错误(跟踪为 CVE-2022-32893),这是 Apple 通过改进边界检查解决的越界写入问题。 据苹果公司称,该漏洞允许处理恶意制作的网络内容,从而导致代码执行,据报道,该漏洞还被积极利用。 WebKit 是支持 Safari 和所有其他在 iOS 上运行的第三方浏览器的浏览器引擎。
类似 Pegasus 的场景
这两个缺陷的发现都归功于一位匿名研究人员,除了苹果公司的披露之外,人们对此知之甚少。
一位专家表示担心,最新的 Apple 漏洞“可能有效地让攻击者完全访问设备”,他们可能会创建一个 飞马般的 类似于民族国家 APT 攻击目标的场景 带有间谍软件 以色列 NSO 集团利用 iPhone 漏洞制造的。
“对于大多数人来说:在一天结束之前更新软件,” 啾啾 SocialProof Security 的首席执行官 Rachel Tobac 关于零日漏洞。 “如果威胁模型被提升(记者、活动家、民族国家的目标等):立即更新,”Tobac 警告说。
零日漏洞比比皆是
这些漏洞与本周来自谷歌的其他消息一起公布,它 正在修补 Chrome 浏览器今年迄今为止的第五个零日漏洞,这是一个受到主动攻击的任意代码执行漏洞。
来自顶级技术供应商的更多漏洞被威胁行为者攻击的消息表明,尽管顶级技术公司尽最大努力解决其软件中长期存在的安全问题,但这仍然是一场艰苦的战斗,高级技术总监 Andrew Whaley 指出。 PROMON,一家挪威应用安全公司。
他说,鉴于 iPhone 无处不在,而且用户在日常生活中完全依赖移动设备,iOS 的缺陷尤其令人担忧。 然而,Whaley 观察到,保护这些设备的责任不仅在于供应商,还在于让用户更加了解现有的威胁。
“虽然我们都依赖我们的移动设备,但它们并非无懈可击,作为用户,我们需要像在桌面操作系统上一样保持警惕,”他在给 Threatpost 的电子邮件中说。
Whaley 观察到,与此同时,iPhone 和其他移动设备的应用程序开发人员也应该在他们的技术中添加额外的安全控制层,这样他们就可以减少对操作系统安全性的依赖,因为这些漏洞经常出现。
“我们的经验表明,这种情况发生得还不够,可能会使银行和其他客户容易受到攻击,”他说。
